Mastodon
Zdjęcie okładkowe wpisu Nowy 0day od Linusa Henze’a, który wykrada wszystkie hasła z keychaina macOS – to bardzo poważna luka

Nowy 0day od Linusa Henze’a, który wykrada wszystkie hasła z keychaina macOS – to bardzo poważna luka

10
Dodane: 6 lat temu

Kilka dni temu zaczęły pojawiać się pierwsze informacje na temat exploita, który potrafi się dobrać do wszystkich naszych haseł zapisanych w systemowym Keychainie pod macOS (nawet tym najnowszym). Tak, to ten, w którym trzymacie swoje hasła… Wygląda na to, że istnieje naprawdę…

Linus Henze opublikował tweeta i wideo przed paroma dniami, demonstrujące jak wykrada hasła z keychaina pod macOS. Dzięki niemu może uzyskać dostęp do takich informacji, jak hasła do aplikacji, stron internetowych, serwerów, banków i podobnych. Dotyczy to lokalnych użytkowników danego komputera i do tego nie potrzebuje ani praw administratora, ani hasła do danego keychaina. Linus informuje również, że jego exploit działa w sytuacji, gdy keychain nie jest zablokowany, a nie jest, gdy dany user jest zalogowany do systemu. Jego Proof-of-Concept możecie obejrzeć na filmie w nagłówku tego wpisu.

Redakcja Bleeping Computer dowiedziała się, że Apple skontaktowało się z Linusem i próbowali od niego dowiedzieć się wszystkich niezbędnych detali potrzebnych do odtworzenia exploita. Linus Henze poinformował ich, że nie zrobi tego, „dopóki czegoś u siebie nie zmienią”. Twierdzi, że jego motywacją nie są pieniądze – Apple obecnie nie prowadzi programu nagradzającego osoby, które znajdą luki w macOS (prowadzą takowy tylko dla iOS) – ale to, że chce na Apple’u wymusić stworzenie takiego programu. Jednocześnie poinformował, że nie upubliczni nikomu informacji na temat tej luki, aby nikt nie mógł jej wykorzystać w niecnych celach.

Patrick Wardle, specjalista od bezpieczeństwa, przed rokiem znalazł lukę w macOS, pozwalającą na podobną możliwość wykradania haseł z Keychaina. Linus Henze udostępnił mu swój kod, a ten potwierdził, że nowa luka istnieje:

Yes, I was able to test it on a fully patched system and it worked lovely… It’s a really nice bug inspiringly so… If I’m a hacker or piece of malware this would be the first thing I do once I gain access to the system… Dump various keychains to extract passwords private keys signing certificates and sensitive tokens. It’s unfortunate that there is yet another bug in the keychain access… One would hope something like a keychain which is supposed to be secure would, in fact, be secure but unfortunately, that’s not the case.


Po pierwsze, to jest bardzo poważna luka w systemie. Nie wątpię, że wielu hackerów obecnie próbuje ją odkryć na własną rękę i być może któremuś się uda. Tymczasem, Linus trzyma Apple w szachu, żądając, aby Ci stworzyli program nagradzający ludzi, którzy znajdą luki w macOS. Z jednej strony rozumiem jego motywację, ale z drugiej strony, to co robi jest bardzo niebezpieczna dla milionów Macuserów. Nam pozostaje jedynie obserwować rozwój wydarzeń…

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .

Komentarze: 10

Naprawdę to problem? Ktoś zostawia niezablokowany system w miejscu publicznym? Poza tym przecież nikt mi nie powie, że to problem dostać się do czyjegoś kompa. Kiedyś jeśli ktoś nie chciał dać hasła , można bo było tylko torturować lub straszyć. Dzisiaj wystarczy ogłuszyć i odbezpieczyć telefon czy maka z palca czy twarzy.

Hm… Wiesz o czym piszesz…? 1. (Touch ID) Część haseł jest przypisana do konta administratora, wystarczy tego konta nie zabezpieczyć odciskiem palca . Należy też mieć na uwadze, że zalogowanie się po uruchomieniu lub włączeniu komputera albo po wylogowaniu się, wymaga podania hasła. 2. (Face ID) Odblokowanie “kiedy oczy są zamknięte” (chyba, ktoś ogłuszony ma takie…?) nie jest możliwe z pomocą Face ID

Naprawdę to problem? Ktoś zostawia niezablokowany system w miejscu publicznym? Poza tym przecież nikt mi nie powie, że to problem dostać się do czyjegoś kompa. Kiedyś jeśli ktoś nie chciał dać hasła , można bo było tylko torturować lub straszyć. Dzisiaj wystarczy ogłuszyć i odbezpieczyć telefon czy maka z palca czy twarzy.

Hm… Wiesz o czym piszesz…? 1. (Touch ID) Część haseł jest przypisana do konta administratora, wystarczy tego konta nie zabezpieczyć odciskiem palca . Należy też mieć na uwadze, że zalogowanie się po uruchomieniu lub włączeniu komputera albo po wylogowaniu się, wymaga podania hasła. 2. (Face ID) Odblokowanie “kiedy oczy są zamknięte” (chyba, ktoś ogłuszony ma takie…?) nie jest możliwe z pomocą Face ID